Informazioni sul CVE-2020-3396

Cisco IOS XE Software IOx Guest Shell USB SSD Namespace Protection Privilege Escalation Vulnerability

CWE ID: CWE-284

Base Score (CVSS): N/A

CVE: CVE-2020-3396

Descrizione: A vulnerability in the file system on the pluggable USB 3.0 Solid State Drive (SSD) for Cisco IOS XE Software could allow an authenticated, physical attacker to remove the USB 3.0 SSD and modify sensitive areas of the file system, including the namespace container protections. The vulnerability occurs because the USB 3.0 SSD control data is not stored on the internal boot flash. An attacker could exploit this vulnerability by removing the USB 3.0 SSD, modifying or deleting files on the USB 3.0 SSD by using another device, and then reinserting the USB 3.0 SSD on the original device. A successful exploit could allow the attacker to remove container protections and perform file actions outside the namespace of the container with root privileges.

Vettore di attacco CVSS:3.1/AV:P/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 6.8 (Medium)

Riassunto: Accesso: Physical, Privilegi: High, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: None.

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione
Attack Vector (AV)	P	Physical	Richiede accesso fisico al dispositivo vulnerabile.
Attack Complexity (AC)	L	Low	L’attacco non richiede condizioni particolari.
Privileges Required (PR)	H	High	Richiede privilegi elevati.
User Interaction (UI)	N	None	Non è richiesta interazione dell’utente.
Scope (S)	C	Changed	La vulnerabilità impatta su componenti esterni.
Confidentiality Impact (C)	H	High	Grave impatto sulla riservatezza.
Integrity Impact (I)	H	High	Grave impatto sull’integrità.
Availability Impact (A)	N	None	Nessun impatto sulla disponibilità.

Riferimenti esterni

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iox-usb-guestshell-WmevScDj

Prodotti interessati

Cisco – Cisco IOS XE Software

Relazioni con altri prodotti

Produttore:Cisco
Prodotto: Cisco IOS XE Software
Anno: 2020
CWE: CWE-284
CVSS: 0.0

Ulteriori risorse disponibili

Vulnerabilità scoperte nello stesso anno (2020)